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© Zugriffsgeschiitzter Datentrager 

@ Die Erfindung betrifft einen Datentrager (1), der einen 
Halbleiterchip (5) aufweist. Um zu verhindern, daft ein An- 
greifer aus abgehorten Signalverlaufen des Chips (5) ge- 
heime Daten des Chips (5) ermittelt, werden sicherheits- 
relevante Operationen nur mit bestimmten Befehlen des 
Betriebsprogramms durchgefuhrt, bei deren Verwendung 
aus den Signalverlaufen nicht auf die verarbeiteten Daten 
geschlossen werden kann. Diese Befehle zeichnen sich 
dadurch aus, daft sie die Daten wenigstens byteweise ver- 
arbeiten, daft sie alle den gleichen oder einen ahnlichen 
Signalverlauf hervorrufen und/oder daft der von ihnen 
hervorgerufene Signalverlauf wenig oder gar nicht von 
den jeweils verarbeiteten Daten abhangt. 
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Beschreibung 

Die Erfindung betrifft einen Datentrager, der einen Halb- 
leiterchip aufweist, in dem geheime Daten abgespeichert 
sind. Insbesondere betrifft die Erfindung eine Chipkarte. 5 

Datentrager die einen Chip enthalten, werden in einer 
Vielzahl von unterschiedlichen Anwendungen eingesetzt, 
beispielsweise zum Durchfiihren von Finanztransaktionen, 
zum Bezahlen von Waren oder Dienstleistungen, oder als 
Identifikationsmittel zur Steuerung von Zugangs- oder Zu- 10 
trittskontrollen. Bei alien diesen Anwendungen werden in- 
nerhalb des Chips des Datentragers in der Regel geheime 
Daten verarbeitet, die vor dem Zugriff durch unberechtigte 
Dritte geschiitzt werden miissen. Dieser Schutz wird unter 
anderem dadurch gewahrleistet, daB die inneren Strukturen 15 
des Chips sehr kleine Abmessungen aufweisen und daher 
ein Zugriff auf diese Strukturen mit dem Ziel, Daten, die in 
diesen Strukturen verarbeitet werden, auszuspahen, sehr 
schwierig ist. Um einen Zugriff weiter zu erschweren, kann 
der Chip in eine sehr fest haftende Masse eingebettet wer- 20 
den, bei deren gewaltsamer Entfernung das Halbleiterplatt- 
chen zerstort wird oder zumindest die darin gespeicherten 
geheimen Daten vernichtet werden. Ebenso ist es auch mog- 
lich, das Halbleiterplattchen bereits bei dessen Herstellung 
mit einer Schutzschicht zu versehen, die nicht ohne Zersto- 25 
rung des Halbleiterplattchens entfernt werden kann. 

Mit einer entsprechenden technischen Ausriistung, die 
zwar extrem teuer aber dennoch prinzipiell verfiigbar ist, 
konnte es einem Angreifer moglicherweise gelingen, die in- 
nere Struktur des Chips freizulegen und zu untersuchen. Das 30 
Freilegen konnte beispielsweise durch spezielle Atzverfah- 
ren oder durch einen geeigneten AbschleifprozeB erfolgen. 
Die so freigelegten Strukturen des Chips, wie beispielsweise 
Leiterbahnen, konnten mit Mikrosonden kontaktiert oder 
mit anderen Verfahren untersucht werden, um die Signalver- 35 
laufe in diesen Strukturen zu ermitteln. AnschlieBend 
konnte versucht werden, aus den detektierten Signalen ge- 
heime Daten des Datentragers, wie z. B. geheime Schliissel 
zu ermitteln, um diese fiir Manipulationszwecke einzuset- 
zen. Ebenso konnte versucht werden, uber die Mikrosonden 40 
die Signalverlaufe in den freigelegten Strukturen gezielt zu 
beeinflussen. 

Der Erfindung liegt die Aufgabe zugrunde, geheime Da- 
ten, die in dem Chip eines Datentragers vorhanden sind, vor 
unberechtigtem Zugriff zu schiitzen. 45 

Diese Aufgabe wird durch die Merkmalskombination des 
Anspruchs 1 gelost. 

Bei der erfindungsgemaBen Losung werden im Gegensatz 
zum Stand der Technik keine MaBnahmen getroffen, um ein 
Freilegen der internen Strukturen des Chips und ein Anbrin- 50 
gen von Mikrosonden zu verhindern. Es werden statt dessen 
MaBnahmen getroffen, die es einem potentiellen Angreifer 
erschweren, aus den gegebenenfalls abgehorten Signalver- 
laufen Riickschliisse auf geheime Informationen zu schlie- 
Ben. Die Signalverlaufe hangen von den Operationen ab, die 55 
der Chip gerade ausfiihrt. Die Steuerung dieser Operationen 
erfolgt mit Hilfe eines Betriebsprogramms, das in einem 
Speicher des Chips gespeichert ist. Das Betriebsprogramm 
setzt sich aus einer Reihe von einzelnen Befehlen zusam- 
men, die jeweils eine genau festgelegte Operation auslosen. 60 
Damit der Chip die ihm zugedachten Funktionen ausiiben 
kann, ist fiir jede dieser Funktionen eine entsprechende Be- 
fehlsfolge zu definieren. Bei einer solchen Funktion kann es 
sich beispielsweise um das Verschliisseln von Daten mit 
Hilfe eines geheimen Schliissels handeln. Um einem An- 65 
greifer, der die Vorgange auf dem Chip mittels von ihm dort 
angebrachten Mikrosonden abhort, moglichst wenig Infor- 
mationen uber die jeweils abgearbeiteten Befehle und die 



bei der Abarbeitung der Befehle verwendeten Daten zu ge- 
ben, werden zur Realisierung einer gewiinschten Funktion 
bevorzugt solche Befehle verwendet, bei denen ein Aus spa- 
hen von Informationen nur schwer oder gar nicht moglich 
ist. Mit anderen Worten, es sollen keine Befehle verwendet 
werden, bei denen durch Abhoren auf einfache Art und 
Weise auf die verarbeiteten Daten geschlossen werden kann. 
Ein RiickschluB auf die Daten ist aber immer dann beson- 
ders einfach, wenn der Befehl nur sehr wenige Daten verar- 
beitet, beispielsweise nur ein einzelnes Bit. Aus diesem 
Grund werden gemaB der Erfindung zumindest fiir alle si- 
cherheitsrelevanten Operationen, wie beispielsweise das 
Verschliisseln von Daten, bevorzugt solche Befehle verwen- 
det, die gleichzeitig mehrere Bits, z. B. jeweils ein Byte ver- 
arbeiten. Durch dieses gleichzeitige Verarbeiten mehrerer 
Bits verwischt der EinfluB, den die einzelnen Bits auf den 
durch den Befehl hervorgerufenen Signalverlauf haben zu 
einem Gesamtsignal, aus dem nur sehr schwer auf die ein- 
zelnen Bits zuriickgeschlossen werden kann. Der Signalver- 
lauf ist wesentlich komplexer als bei der Verarbeitung von 
einzelnen Bits und es ist nicht ohne weiteres ersichtlich, 
welcher Teil des Signals zu welchem Bit der verarbeiteten 
Daten gehort. 

Zusatzlich oder alternativ hierzu kann gemaB der Erfin- 
dung der Angriff auf die verarbeiteten Daten dadurch er- 
schwert werden, daB bei sicherheitsrelevanten Operationen 
aus schlieB rich solche Befehle verwendet werden, die einen 
identischen oder sehr ahnlichen Signalverlauf auslosen bzw. 
Befehle, bei denen die verarbeiteten Daten keinen oder nur 
einen sehr geringen EinfluB auf den Signalverlauf haben. 

Die Erfindung wird nachstehend anhand der in den Figu- 
ren dargestellten Ausfiihrungsformen erlautert. Es zeigen: 

Fig. 1 eine Chipkarte in Aufsicht und 

Fig. 2 einen stark vergroBerten Ausschnitt des Chips der 
in Fig. 1 dargestellten Chipkarte in Aufsicht. 

In Fig. 1 ist als ein Beispiel fiir den Datentrager eine 
Chipkarte 1 dargestellt. Die Chipkarte 1 setzt sich aus einem 
Kartenkorper 2 und einem Chipmodul 3 zusammen, das in 
eine dafiir vorgesehene Aussparung des Kartenkorpers 2 
eingelassen ist. Wesentliche Bestandteile des Chipmoduls 3 
sind Kontaktflachen 4, uber die eine elektrische Verbindung 
zu einem exteraen Gerat hergestellt werden kann und ein 
Chip 5, der mit den Kontaktflachen 4 elektrisch verbunden 
ist. Alternativ oder zusatzlich zu den Kontaktflachen 4 kann 
auch eine in Fig. 1 nicht dargestellte Spule oder ein anderes 
Ubertragungsmittel zur Herstellung einer Kommunikations- 
verbindung zwischen dem Chip 5 und einem externen Gerat 
vorhanden sein. 

In Fig. 2 ist ein stark vergroBerter Ausschnitt des Chips 5 
aus Fig. 1 in Aufsicht dargestellt. Das besondere der Fig. 2 
liegt darin, daB die aktive Oberflache des Chips 5 dargestellt 
ist, d. h. samtliche Schichten, die im allgemeinen die aktive 
Schicht des Chips 5 schiitzen, sind in Fig. 2 nicht dargestellt. 
Um Informationen uber die Signalverlaufe im Inneren des 
Chips zu erhalten, konnen beispielsweise die freigelegten 
Strukturen 6 mit Mikrosonden kontaktiert werden. Bei den 
Mikrosonden handelt es sich um sehr diinne Nadeln, die 
mittels einer Prazisions-Positioniereinrichtung mit den frei- 
gelegten Strukturen 6, beispielsweise Leiterbahnen in elek- 
trischen Kontakt gebracht werden. Die mit den Mikroson- 
den aufgenommenen Signalverlaufe werden mit geeigneten 
MeB- und Auswerteeinrichtungen weiterverarbeitet mit dem 
Ziel, Riickschliisse auf geheime Daten des Chips schlieBen 
zu konnen. 

Mit der Erfindung wird erreicht, daB ein Angreifer auch 
dann, wenn es ihm gelungen sein sollte, die Schutzschicht 
des Chips 5 ohne Zerstorung des Schaltkreises zu entfernen 
und die freigelegten Strukturen 6 des Chips 5 mit Mikroson- 
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den zu kontaktieren oder auf andere Weise abzuhoren nur 
sehr schwer oder gar nicht Zugang zu insbesondere gehei- 
men Daten des Chips erlangt. Selbstverstandlich greift die 
Erfindung auch dann, wenn ein Angreifer auf andere Art 
und Weise Zugang zu den Signalverlaufen des Chips 5 er- 5 
langt. 

GemaB der Erfindung werden die Befehle des Betriebs- 
programms des Chips wenigstens bei alien sicherheitsrele- 
vanten Operationen so ausgewahlt, daB aus den abgehorten 
Signalverlaufen entweder iiberhaupt nicht oder zumindest 10 
nur sehr schwer Ruckschliisse auf die mit den Befehlen ver- 
arbeiteten Daten gezogen werden konnen. Dies kann bei- 
spiels weise dadurch erreicht werden, daB man bei Sicher- 
heitsoperationen grundsatzlich auf alle Befehle verzichtet, 
die einzelne Bits verarbeiten, wie z. B. das Verschieben ein- 15 
zelner Bits, durch das eine Permutation der Bits einer Bit- 
folge bewirkt werden soil. Statt der Bitbefehle kann man 
beispiels weise auf Byte-Befehle zuriickgreifen, wie bei- 
spielsweise Kopier- oder Rotationsbefehle, die statt eines 
einzelnen Bits gleich ein gesamtes Byte bestehend aus acht 20 
Bits verarbeiten. Der Byte-Befehl lost im Gegensatz zu dem 
Bit-Befehl einen wesentlich komplexeren Signalverlauf aus, 
wobei eine Zuordnung zwischen einzelnen Bits und Teilbe- 
reichen des Signalverlaufs extrem schwierig ist. Dies fiifirt 
zu einer Verschleierung der mit dem Byte-Befehl verarbeite- 25 
ten Information und erschwert somit ein Ausspahen dieser 
Information. 

Weiterhin besteht im Rahmen der Erfindung noch die 
Moglichkeit, bei sicherheitsrelevanten Operationen grund- 
satzlich nur Befehle zu verwenden, die einen sehr ahnlichen 30 
Signalverlauf auslosen, so daB eine Unterscheidung der ge- 
rade abgearbeiteten Befehle anhand der Signal verlaufe sehr 
schwierig ist. Ebenso ist es auch moglich, die Befehle so zu 
gestalten, daB die Art der verarbeiteten Daten keinen oder 
nur einen sehr geringen EinfluB auf den durch den Befehl 35 
ausgelosten Signalverlauf haben. 

Die geschilderten Varianten konnen bezogen auf die ein- 
zelnen Befehle entweder alternativ oder in Kombination 
eingesetzt werden. Ein erfindungsgemaBer Satz von sicher- 
heitsrelevanten Befehlen kann sich somit aus Befehlen zu- 40 
sammensetzen, die einer oder mehrerer der oben genannten 
Varianten angehoren. Ebenso kann auch ein Befehlssatz ver- 
wendet werden, bei dem alle Befehle derselben Variante an- 
gehoren,wobei auch zugelassen sein kann, daB einige oder 
auch alle Befehle dariiber hinaus auch anderen Varianten an- 45 
gehoren. So konnen bei spiels weise ausschlieBlich Byte-Be- 
fehle zugelassen sein, wobei bevorzugt solche Befehle ver- 
wendet werden, die zudem einen sehr ahnlichen Signalver- 
lauf auslosen. 

Als sicherheitsrelevante Operationen sind z. B. Ver- 50 
schliisselungsoperationen anzusehen, die haufig auch bei 
Chipkarten eingesetzt werden. Im Rahmen solcher Ver- 
schliisselungen werden eine Reihe von Einzeloperationen 
ausgefiihrt, die zu bitweisen Veranderungen in einem Daten- 
wort fuhren. GemaB der Erfindung werden alle diese Be- 55 
fehle durch Byte-Befehle ersetzt und/oder es werden die 
weiteren oben genannten erfindungsgemaBen MaBnahmen 
getroffen. Auf diese Art und Weise wird es einem Angreifer 
noch weiter erschwert, aus den abgehorten Signalverlaufen 
Riickschliisse auf die bei der Verschliisselung verwendeten 60 
geheimen Senilis sel zu ziehen und es wird dadurch ein MiB- 
brauch dieser geheimen Schliissel verhindert. 

Patentanspriiche 

65 

1 . Datentrager mit einem Halbleiterchip (5) der wenig- 
stens einen Speicher aufweist, in dem ein Betriebspro- 
gramm abgelegt ist, das mehrere Befehle beinhaltet, 



4 

wobei jeder Befehl von auBerhalb des Halbleiterchips 
(5) detektierbare Signale hervorruft, dadurch gekenn- 
zeichnet, daB der Datentrager bei der Durchfuhrung si- 
cherheitsrelevanter Operationen ausschlieBlich solche 
Befehle des Betriebsprogramms verwendet, bei denen 
aus den detektierten Signalen nicht auf die mit den zu- 
gehorigen Befehlen verarbeiteten Daten geschlossen 
werden kann. 

2. Datentrager nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die verwendeten Befehle, fur eine wenig- 
stens byteweise Verarbeitung von Daten ausgelegt 
sind. 

3. Datentrager nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB die verwendeten 
Befehle sich beziiglich der von ihnen hervorgerufenen 
Signalverlaufe nicht oder nur sehr wenig voneinander 
unterscheiden. 

4. Datentrager nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB die verwendeten 
Befehle jeweils zu einem Signalverlauf fuhren, der 
nicht oder in einem nur sehr geringen AusmaB von den 
mit dem Befehl verarbeiten Daten abhangt. 

5. Datentrager nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB es sich bei den 
sicherheitsrelevanten Operationen um Schliisselper- 
mutationen oder Permutationen anderer geheimer Da- 
ten handelt. 

6. Datentrager nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB es sich bei dem 
Datentrager um eine Chipkarte handelt. 
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